# Microsoft Security Copilot — AI-drevet sikkerhetsoperasjonsplattform **Kategori:** AI Security Engineering **Sist oppdatert:** 2026-04 | Verified: MCP 2026-04 **Målgruppe:** Sikkerhetsarkitekter og SOC-ledere som vurderer AI-assistert sikkerhetsoperasjon ## Introduksjon Microsoft Security Copilot er en generativ AI-drevet sikkerhetsplattform som hjelper sikkerhets- og IT-profesjonelle å respondere på cybertrusler, prosessere signaler og vurdere risikoeksponering i maskinens hastighet og skala. Plattformen kombinerer OpenAI-arkitektur med Microsofts sikkerhetsekspertise og global trusselintelligens — over 65 billioner sikkerhetssignaler daglig. Security Copilot er ikke et SIEM eller SOAR i tradisjonell forstand. Det er et **AI-lag som sitter oppå eksisterende sikkerhetsverktøy** og gjør dem mer tilgjengelige, raskere og mer effektive. En SOC-analytiker som normalt bruker 30 minutter på manuell triage av en phishing-hendelse, kan redusere dette til minutter med Security Copilot-agenter. ### Nøkkelprinsipper - **Naturlig språk som grensesnitt:** Still spørsmål på norsk eller engelsk, få handlingsrettede svar - **Agentisk automatisering:** Autonome agenter utfører repetitive oppgaver uten menneskelig intervensjon - **Kontekstuell forhøyelse:** Kombinerer data fra Defender, Sentinel, Intune, Entra og tredjepartskilder - **Human-in-the-loop:** Agenter handler autonomt, men admins beholder full kontroll og revisjonslogg ## Standalone vs Embedded Security Copilot finnes i to overlappende opplevelsesformer: ### Standalone-portal (securitycopilot.microsoft.com) - Fullstendig chat-basert grensesnitt for dybdeinvestigering - Tilgang til alle plugins og datakjelder i én samlet visning - Promptbooks (automatiserte spørsmålssekvenser) for vanlige scenarier - Pinboard for deling og samarbeid mellom analytikere - Primær plattform for Threat Intelligence Briefing Agent og tilpassede agentworkflows **Bruksscenarier:** Trusselintelligens-analyse, cross-product-investigasjoner, rapportgenerering ### Embedded-opplevelse (integrert i eksisterende portaler) | Portal | Security Copilot-kapabiliteter | |--------|-------------------------------| | **Microsoft Defender XDR** | Hendelsessammendrag, identitetsanalyse, enhetssummering, filanalyse, hendelsesrapport | | **Microsoft Sentinel** | Hendelsesammendrag, KQL-generering, incident-investigation | | **Microsoft Intune** | Enhetsanalyse, policy-optimalisering, sårbarhetshåndtering | | **Microsoft Entra** | Identitetsrisiko-undersøkelse, Conditional Access-optimalisering, tilgangsgjennomgang | | **Microsoft Purview** | DLP-alerttriage, Insider Risk Management-analyse, eDiscovery | **Fordel:** Analytikere trenger ikke forlate portalen de jobber i — Security Copilot-assistansen er tilgjengelig inline. ## Innebygde Security Copilot-agenter Security Copilot inneholder autonome agenter som utfører spesifikke sikkerhetsoppgaver uten manuell intervensjon. Per 2026-02 er følgende agenter tilgjengelige: ### Agenter for triage og hendelseshåndtering | Agent | Portal | Funksjon | Status | |-------|--------|----------|--------| | **Phishing Triage Agent** | Defender XDR | Autonomt triage og klassifisering av brukerrapporterte phishing-hendelser. Semantisk analyse av e-post, URLer og filer. Lærer av analytikerfeedback. | Public Preview | | **Alert Triage for DLP** | Microsoft Purview | Autonomt triage av DLP-alerts, prioriterer høyrisiko-aktiviteter | Preview | | **Alert Triage for Insider Risk Management** | Microsoft Purview | Autonomt triage av IRM-alerts, analyserer innhold og intensjon | Preview | ### Agenter for proaktiv sikkerhet | Agent | Portal | Funksjon | Status | |-------|--------|----------|--------| | **Threat Intelligence Briefing Agent** | Standalone | Ukentlig tilpasset trusselintelligens basert på organisasjonens bransje, geografi og angrepsflate | Public Preview | | **Conditional Access Optimization Agent** | Microsoft Entra | Overvåker nye brukere/apper uten CA-dekning, anbefaler oppdateringer med ett-klikk-løsninger | GA | | **Vulnerability Remediation Agent** | Microsoft Intune | Identifiserer topp-CVE-er, bruker Defender-data, gir trinnvis remediering via Intune | GA | | **Access Review Agent** | Microsoft Entra + Teams | Leverer innsikt og anbefalinger for tilgangsgjennomgang direkte i Teams | GA | ### Agenter for endpointadministrasjon (Intune) | Agent | Funksjon | |-------|----------| | **Change Review Agent** | Evaluerer effekten av godkjenningsforespørsler i Intune | | **Device Offboarding Agent** | Identifiserer utdaterte enheter i Intune og Entra ID | | **Policy Configuration Agent** | Oversetter tekstlige krav til Intune-innstillinger | **Viktig:** *(Verified MCP 2026-04)* Agenter aktiveres IKKE automatisk. Administrator må eksplisitt installere og konfigurere dem. Under oppsett velger admin identitetstype: - **Lag agentidentitet** (kun Microsoft-bygde agenter): Oppretter dedikert Entra Agent ID med scoped tillatelser - **Koble til eksisterende brukerkonto**: Agenten arver dine credentials og tillatelser mens den kjører Alle agentaktiviteter logges for revisjon. Agenter bruker SCU-er som andre Security Copilot-funksjoner — ingen separat lisensiering nødvendig. ## Lisensiering ### M365 E5 — Inkludert uten tilleggskostnad (fra november 2025) Fra 18. november 2025 er Security Copilot inkludert i Microsoft 365 E5-lisenser uten ekstra kostnad: *(Verified MCP 2026-04)* - **Kapasitet:** 400 SCU (Security Compute Units) per måned per 1 000 betalte brukerlisenser - **Skalering:** Proporsjonal — 400 lisenser → 160 SCU/mnd, 4 000 lisenser → 1 600 SCU/mnd - **Maksimum:** 10 000 SCU/mnd inkludert - **Reset:** SCU-er nullstilles månedlig — ubrukte SCU-er overføres ikke - **Auto-provisionering:** Kunder mottar 30-dagers forhåndsvarsel, deretter auto-provisioneres Security Copilot uten Azure-oppsett eller manuell SCU-tildeling. Zero-click activation. *(Verified MCP 2026-04)* - **Overskridelse:** Bruk utover inkludert kapasitet throttles; fremtidig mulighet for $6/SCU pay-as-you-go (30-dagers forhåndsvarsel gis) - **Default Security Copilot Capacity:** Automatisk opprettet inklusionstildelingen i tenanten — kan ikke modifiseres, deles på tvers av alle brukere og opplevelser, faktureres ikke per time *(Verified MCP 2026-04)* **Hva er inkludert:** *(Verified MCP 2026-04)* - Alle chat-, promptbook- og agentscenarier i Entra, Intune, Purview, Defender og standalone-portalen - Sentinel-scenariet er inkludert for M365 E5-kunder som også bruker Sentinel - **Developer experiences:** Agent Builder, APIer for tilpassede agenter, promptbooks og integrasjoner via MCP og Graph APIer - **Partner-built agents:** SCU-kostnader inkludert inntil videre (kan endres) **Hva er IKKE inkludert:** Sentinel data lake-kostnader, Azure Logic Apps-kostnader, non-agentic Data Security Investigations i Purview, partner-built agent-lisenser kjøpt via Security Store, noen agenter med forutsetninger utenfor M365 E5. ### Standalone SCU-modell (for ikke-E5-kunder) | Komponent | Detalj | |-----------|--------| | **Enhet** | Security Compute Unit (SCU) | | **Pris** | ~$6 per SCU (pay-as-you-go / overage) | | **Provisionering** | Manuelt via Azure-portal | | **Kapasitetskalkulator** | Tilgjengelig i standalone-portalen (Azure-konto kreves) | **Eksempel SCU-forbruk:** En typisk incident-sammendrag forbruker ca. 0,5 SCU; en kompleks multi-prompt investigasjon 3–5 SCU. ## Integrasjon med Microsoft Defender XDR Security Copilot er dypt integrert i Defender XDR som et embedded erfaringslag: ### Nøkkelkapabiliteter i Defender **Hendelseshåndtering:** - Automatisk hendelsessammendrag ved åpning av ny hendelse - Veiledet respons med trinnvise handlingsanbefalinger - Generering av hendelsesrapport for dokumentasjon og eskalering **Identitetsanalyse:** - Brukersammendrag med risikonivå, rolle, påloggingsadferd og enheter - Korrelasjon med Entra ID Protection risky user-rapporter - Sign-in-logg analyse med naturlig språk **Enhet og fil:** - Enhetssammendrag inkludert sikkerhetspostur, uvanlig adferd og sårbar programvare - Filanalyse — deteksjonsinformasjon, API-kall, strenger, sertifikater - Script-analyse — reversering av mistenkelige scripts via naturlig språk **Phishing Triage Agent (i Defender):** - Krever: Microsoft Defender for Office 365 Plan 2 + Security Copilot - Utløses automatisk når bruker rapporterer phishing - Semantisk analyse (ikke regelbasert som tradisjonell SOAR) - Transparent begrunnelse i naturlig språk med visuell beslutningskart ### XDR-beriking ``` Bruker rapporterer phishing-e-post ↓ Phishing Triage Agent aktiveres automatisk ↓ (bruker plugin-er: Defender XDR + Defender TI) Semantisk analyse av e-post, URLer, vedlegg ↓ Klassifisering med begrunnelse (naturlig språk) ↓ Analytiker gjennomgår og gir feedback ↓ Agent lærer og forbedrer nøyaktighet over tid ``` ## Integrasjon med Microsoft Sentinel Security Copilot integrerer med Sentinel via to plugins: ### 1. Microsoft Sentinel Plugin - Summarér Sentinel-hendelser direkte fra standalone Security Copilot - Hent hendelsesdetaljer, relaterte alerts og entiteter - Cross-produkt: Korreler Defender XDR-hendelser med Sentinel-hendelser ### 2. Natural Language to KQL for Microsoft Sentinel (Preview) Konverterer naturlig språk til kjørbar KQL — elimnerer behovet for manuell KQL-skriving: ``` Bruker: "Finn alle SAP-hendelser relatert til bruker adele.vance@contoso.com de siste 7 dagene og vis incident-tittel" ↓ Security Copilot genererer KQL automatisk: SecurityAlert | where Entities has "adele.vance@contoso.com" and TimeGenerated >= ago(7d) | join kind=inner ( SecurityIncident | mv-expand SystemAlertId = AlertIds | extend SystemAlertId = tostring(SystemAlertId) ) on SystemAlertId | summarize by IncidentNumber, Title ``` **Tilgjengelighet:** Standalone-portal og Advanced Hunting-seksjonen i Defender-portalen. Ikke alle Sentinel-tabeller støttes ennå. ### Typisk Sentinel-investigasjonsflyt med Security Copilot 1. Hent siste aktive Defender-hendelse tildelt deg (naturlig språk) 2. Berik med entitetsdetaljer (bruker, enhet, IP) 3. Bruk Natural Language to KQL for å lete i Sentinel-data 4. Korreler på tvers av Defender XDR og Sentinel-hendelser 5. Undersøk entiteter (IP-omdømme, trusselaktørprofil via Defender TI) 6. Generer sammendragsrapport for eskalering ## Tilpassede Security Copilot-plugins Organisasjoner kan bygge egne plugins for å utvide Security Copilot med interne datakilder og systemer. ### Plugin-typer | Type | Beskrivelse | Bruksområde | |------|-------------|-------------| | **API-plugin** | Wrapper rundt eksisterende REST API (OpenAPI-spec) | Interne sikkerhetssystemer, ticketing | | **KQL-plugin** | Egendefinerte KQL-spørringer mot Sentinel/Defender | Organisasjonsspesifikke deteksjonsregler | | **OpenAI-format** | ChatGPT-kompatibelt plugin-format | Tredjeparts sikkerhetsleverandører | | **Egendefinert agent** | Fullstendig agent med egne instruksjoner og verktøy | Organisasjonsspesifikke workflows | ### Teknisk implementering **Manifest-format (YAML):** *(Verified MCP 2026-04)* ```yaml Descriptor: Name: intern-sikkerhetsportal DisplayName: Intern Sikkerhetsportal Description: Henter hendelsesdata fra intern ITSM SkillGroups: - Format: API Settings: OpenApiSpecUrl: https://intern-portal.virksomhet.no/api/openapi.yaml ``` **Distribusjonsalternativer:** - **Kun for din organisasjon:** Last opp manuelt i plugin-administrasjonsgrensesnittet - **Security Store:** Publiser for bredere distribusjon (Microsoft og partnere) - **Agentbygger:** Bygg tilpassede agenter med Agent Builder i standalone-portalen (tilgjengelig for M365 E5-kunder) *(Verified MCP 2026-04)* - **Custom agents:** Kan bygges via Developer-seksjonen (`/copilot/security/developer/custom-agent-overview`) *(Verified MCP 2026-04)* **Krav:** *(Verified MCP 2026-04)* - YAML eller JSON manifest-fil med obligatoriske felter: `Descriptor` (Name, DisplayName, Description) og `SkillGroups` - `name_for_model` maks 100 tegn; `name_for_human` maks 40 tegn; `description_for_model` maks 16 000 tegn - OpenAPI v3.0 eller 3.0.1 støttes - Autentisering (`auth`): `authorization_type` er begrenset til `bearer`; OAuth, api_key, AAD-støtte under utvikling - Best practice: Skill-beskrivelser skal være detaljerte og inkludere `DescriptionForModel` for optimal LLM-valg ### Tilgjengelige tredjepartspluginer Security Copilot støtter et voksende økosystem av tredjepartspluginer via Security Store: - AbuseIPDB, Censys, CrowdSec CTI, CyberArk, Cybersixgill, Red Canary, Jamf, med flere ## Norsk offentlig sektor — Relevans og tilnærming ### SOC-team forsterkning Norske offentlige virksomheter opererer typisk med begrensede SOC-ressurser. Security Copilot kan: **Redusere tid per hendelse:** Phishing-triage fra 30 minutter manuelt → minutter med Phishing Triage Agent. Hendelsessammendrag som tar timer → sekunder. **Demokratisere KQL-kompetanse:** Natural Language to KQL gjør at analytikere uten KQL-erfaring kan gjennomføre avanserte huntingoperasjoner i Sentinel. **Skalere SOC-kapasitet:** Agenter håndterer høyvolumsoppgaver (phishing-triage, DLP-alerts, tilgangsgjennomgang) autonomt, frigjør analytikere for strategisk arbeid. ### NSM-retningslinjer og compliance **NSM Grunnprinsipper for IKT-sikkerhet — Prinsipp 5 (Loggføring):** Security Copilot logger alle agentaktiviteter i detaljert revisjonslogg. Alle handlinger er sporbare, gjennomgåbare og kan modifiseres av admins. Dette støtter NSM-krav om tilstrekkelig logging for å oppdage, analysere og etterforske hendelser. **NSM Grunnprinsipper — Prinsipp 2 (Tilgangskontroll):** Agenter får identitet og RBAC-tillatelser med minste-privilegie-prinsippet. Ingen agent har bredere tilgang enn strengt nødvendig. **Digdir "Veileder om ansvarlig bruk av KI":** Human-in-the-loop-kontroll: Agenter anbefaler, analytikere godkjenner. Konfigurerbart nivå av autonomi. Alle AI-beslutninger er forklarte og transparente. **AI Act — Klassifikasjon:** Security Copilot faller typisk under **høyrisiko** AI-klassifikasjon (kritisk infrastruktur / sikkerhetssystemer) under AI Act. Dette krever: - Transparent begrunnelse for alle AI-beslutninger ✅ (innebygd i Security Copilot) - Human oversight ✅ (human-in-the-loop som standard) - Logging og revisjonslogg ✅ (full audit trail) - Robusthetstesting — Organisasjonen er ansvarlig ### Datalagring og suverenitet **Viktig begrensning:** Security Copilot er per 2026-02 kun tilgjengelig for kommersielle skytjenester. **Ikke tilgjengelig for:** - GCC (Government Community Cloud) - GCC High - DoD - Microsoft Azure Government (inkludert norsk offentlig skyvariant hvis dette benyttes) Kontakt Microsoft-representant for oppdatert status på offentlig skyvariant-støtte. Data lagres i samme region som eksisterende Security Copilot-workspace. ### Praktisk implementeringssti for offentlig sektor ``` Fase 1 (Uke 1-2): Vurdering ├── Bekreft M365 E5-lisenser (→ Security Copilot inkludert) ├── Kartlegg eksisterende Defender + Sentinel-infrastruktur └── Identifiser 2-3 primære bruksscenarier (phishing-triage, incident-summering) Fase 2 (Uke 2-4): Pilot ├── Aktiver Security Copilot i embedded Defender-opplevelse ├── Konfigurer Sentinel-plugin (inkl. Natural Language to KQL) ├── Test med lavrisiko-hendelser └── Mål tidssparing vs. manuell prosess Fase 3 (Uke 4-6): Agent-utrulling ├── Deploy Phishing Triage Agent (krev Defender for Office 365 Plan 2) ├── Konfigurer Conditional Access Optimization Agent └── Evaluer Vulnerability Remediation Agent mot Intune-infrastruktur Fase 4 (Løpende): Tilpasning ├── Bygg egendefinerte plugins for interne systemer ├── Tren analytikere i promptbok-bruk └── Monitorer SCU-forbruk i bruksdashboard ``` ## Kostnadsmodell ### M365 E5-kunder (inkludert SCU-modell) | Virksomhetsstørrelse | M365 E5-lisenser | Inkluderte SCU/mnd | Estimert verdi | |---------------------|-----------------|-------------------|----------------| | Liten | 200 | 80 SCU | ~480 kr/mnd | | Medium | 1 000 | 400 SCU | ~2 400 kr/mnd | | Stor | 5 000 | 2 000 SCU | ~12 000 kr/mnd | | Maks inkludert | 10 000+ | 10 000 SCU | ~60 000 kr/mnd | *Estimert pris basert på $6/SCU overage-rate, ~10 kr/USD* ### Standalone-kunder | SCU/mnd | Estimert månedskostnad (NOK) | Anbefalt for | |---------|------------------------------|-------------| | 50 | ~3 000 | Liten SOC, sporadisk bruk | | 200 | ~12 000 | Medium SOC med daglig bruk | | 500+ | ~30 000+ | Stor SOC eller MSP | **Kapasitetskalkulator:** Tilgjengelig i standalone-portalen (krever Azure-konto) for å estimere SCU-behov basert på planlagte scenarier. ## Sammenligning: Standalone vs M365 E5 Embedded | Aspekt | Standalone (SCU-kjøpt) | M365 E5 Embedded | |--------|----------------------|-----------------| | **Tilgjengelighet** | Alle kunder med SCU-er | M365 E5-kunder automatisk | | **Kostnad** | $6/SCU pay-as-you-go | Inkludert (opptil 10 000 SCU/mnd) | | **Provisionering** | Manuelt via Azure | Automatisk | | **Kapabiliteter** | Full standalone + embedded | Full standalone + embedded | | **Maks kapasitet** | Ubegrenset (betalt) | 10 000 SCU/mnd inkludert | | **Sentinel-støtte** | Ja | Ja (for M365 E5 + Sentinel-kunder) | ## Referansearkitektur: Security Copilot i norsk SOC ``` ┌─────────────────────────────────────────────────────────────────┐ │ Norsk offentlig virksomhet — SOC │ │ │ │ ┌─────────────────────────────────────────────────────────┐ │ │ │ Security Copilot Standalone Portal │ │ │ │ • Dybdeinvestigasjoner │ │ │ │ • Trusselintelligens (Threat Intel Briefing Agent) │ │ │ │ • Tilpassede promptbooks for norsk SOC-workflow │ │ │ └────────────────────┬────────────────────────────────────┘ │ │ │ AI-lag │ │ ┌───────────────┼───────────────────┐ │ │ ▼ ▼ ▼ │ │ ┌─────────┐ ┌──────────┐ ┌─────────────────┐ │ │ │Defender │ │Sentinel │ │ Entra + Intune │ │ │ │ XDR │ │(SIEM) │ │ + Purview │ │ │ │ │ │ │ │ │ │ │ │• Phish- │ │• KQL-gen │ │• CA Optimization │ │ │ │ triage │ │• Hendel- │ │• Access Review │ │ │ │ agent │ │ sess. │ │• Vuln. Remediat. │ │ │ └─────────┘ └──────────┘ └─────────────────┘ │ │ │ │ ┌─────────────────────────────────────────────────────────┐ │ │ │ Microsoft Threat Intelligence (65 billioner signaler) │ │ │ └─────────────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────────────┘ ``` ## Beslutningsveiledning ### Vanlige spørsmål fra kunder **"Trenger vi Security Copilot standalone eller holder embedded?"** Embedded i M365 E5 er tilstrekkelig for de fleste offentlige virksomheter: - Phishing-triage i Defender ✅ - Hendelsessammendrag i Defender og Sentinel ✅ - Conditional Access-optimalisering i Entra ✅ - KQL-generering i Sentinel ✅ Standalone er verdifullt hvis du trenger: - Dype cross-platform investigasjoner som kombinerer mange kilder - Dedikert grensesnitt for trusselintelligens-analytikere - Tilpassede promptbooks på tvers av produkter **"Vi har ikke M365 E5 — er Security Copilot verdt selvstendig innkjøp?"** Vurder ROI: Hvis en analytiker bruker 2 timer/dag på manuell phishing-triage og Security Copilot reduserer dette med 80%, er breakeven ved relativt få brukere. Gjennomfør pilot med 50 SCU ($300) for å måle faktisk tidssparing. **"Hva med personvern og GDPR — sendes data til OpenAI?"** Security Copilot bruker IKKE kundedataene til å trene andre AI-modeller. Data behandles innenfor Microsofts compliance-rammeverk. Datalagring skjer i kundens valgte region. Se Microsoft DPA og privacy-dokumentasjon. **"Kan vi bruke Security Copilot på ugradert og gradert informasjon?"** Per 2026-02: Security Copilot er kun tilgjengelig på kommersielt skynivå — ikke GCC High eller tilsvarende. For norsk offentlig sektor med krav om behandling av gradert informasjon: kontakt Microsoft for roadmap og alternativer. ### Anbefalte neste steg 1. **Bekreft lisenser:** Har virksomheten M365 E5? → Gratis pilot tilgjengelig nå 2. **Identifiser SOC-smertepunkter:** Hva er de 3 mest tidkrevende repetitive oppgavene? 3. **Start med Phishing Triage Agent:** Tydelig ROI, lav risiko, rask gevinst 4. **Evaluer Sentinel-integrasjon:** Spesielt KQL-generering for analytikere uten KQL-kompetanse 5. **Plan for tilpassede plugins:** Finnes interne systemer (ITSM, saksbehandling) som kan berikes? ## Spørsmål Cosmo bør stille kunden - Har dere Microsoft 365 E5-lisenser? (Avgjør om Security Copilot er inkludert) - Bruker dere Microsoft Defender XDR og/eller Microsoft Sentinel i dag? - Hva er de største tidstyvene i SOC-en daglig? (Phishing-triage? Alert-vurdering? KQL-skriving?) - Har dere analytikere uten KQL-kompetanse som trenger å søke i Sentinel-data? - Er det interne systemer (ITSM, HR, saksbehandling) som SOC-en trenger å korrelere med? - Har dere krav til behandling av informasjon som ikke kan ligge i kommersiell sky? - Er dere MSP eller intern SOC? (Påvirker lisensiering og agent-konfigurasjon) ## Kilder Basert på offisiell Microsoft Learn-dokumentasjon (sist verifisert 2026-04 via MCP): *(Verified MCP 2026-04)* — Inklusjonsmodellen (M365 E5 → 400 SCU/1000 lisenser, maks 10 000 SCU/mnd, zero-click provisjonering) er bekreftet via MCP-fetch av security-copilot-inclusion og get-started-security-copilot. 1. [What is Microsoft Security Copilot?](https://learn.microsoft.com/copilot/security/microsoft-security-copilot) — Overordnet produktbeskrivelse 2. [Microsoft Security Copilot agents overview](https://learn.microsoft.com/copilot/security/agents-overview) — Komplett agentoversikt 3. [Deploy AI agents in Microsoft Defender](https://learn.microsoft.com/defender-xdr/security-copilot-agents-defender) — Defender-spesifikke agenter 4. [Security Copilot with Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/sentinel-security-copilot) — Sentinel-integrasjon 5. [Learn about Security Copilot inclusion in Microsoft 365 E5](https://learn.microsoft.com/copilot/security/security-copilot-inclusion) — E5-lisensiering og SCU-modell. Verified MCP 2026-04: Bekrefter rollout startet 18. november 2025, 400 SCU/måned per 1000 brukerlisenser (maks 10 000 SCU/mnd), zero-click auto-provisionering med 30-dagers forhåndsvarsel, SCU nullstilles månedlig, Developer Experiences (Agent Builder, MCP og Graph API-integrasjoner) er inkludert. 6. [Get started with Microsoft Security Copilot](https://learn.microsoft.com/copilot/security/get-started-security-copilot) — Onboarding og lisensiering. Verified MCP 2026-04: Bekrefter to kundekategorier — M365 E5-kunder (auto-provisionert) og ikke-E5-kunder (manuell onboarding med SCU-provisjonering). M365 E5-kunder trenger ikke Azure-oppsett eller manuell SCU-tildeling. 7. [Create your own custom plugins](https://learn.microsoft.com/copilot/security/custom-plugins) — Egendefinerte plugins 8. [Microsoft Security Copilot Phishing Triage Agent](https://learn.microsoft.com/defender-xdr/phishing-triage-agent) — Phishing Triage Agent detaljer 9. [Security Copilot agents in Intune overview](https://learn.microsoft.com/intune/agents/) — Intune-agenter 10. [Microsoft Security Copilot experiences](https://learn.microsoft.com/copilot/security/experiences-security-copilot) — Standalone vs embedded --- **For Cosmo:** Security Copilot er et av de mest konkrete AI-verdiforslaget i Microsoft-stakken for sikkerhetsteam. Det er ikke "AI for AI's skyld" — det er direkte tidsbesparelse på veldefinerte oppgaver. **Anbefal Security Copilot når:** - Kunden har M365 E5 (→ gratis, ingen unnskyldning for ikke å prøve) - SOC-en bruker Defender og/eller Sentinel - Det finnes repetitive, høyvolumsoppgaver (phishing-triage, alert-triage) - Analytikere mangler KQL-kompetanse - Det er begrenset SOC-bemanning (Security Copilot skalerer kapasitet uten å ansette) **Vær forsiktig / avklar FØR anbefaling:** - Behandler de gradert informasjon som ikke kan ligge i kommersiell sky? - Er de på GCC/government sky-variant? - Har de allerede annen SOAR-investering som overlapper? **Trigger-spørsmål fra kunder:** - "Hva er Security Copilot og er det inkludert i E5?" - "Hvordan kan vi bruke AI i SOC-en uten å ansette flere?" - "Kan AI hjelpe oss med phishing-triage?" - "Vi har mange Sentinel-analytikere som ikke kan KQL — finnes det en løsning?" - "Hva er forskjellen på Security Copilot og Copilot for Microsoft 365?"